(Blog) Firewalls en encryptie spelen een belangrijke rol in de bescherming tegen cyberaanvallen, wat over het algemeen vrij bekend is. Maar deze hulpmiddelen kunnen zich niet verdedigen tegen een van de grootste cyberdreigingen: de mens.
Social engineering, oftewel het manipuleren van mensen om zo gevoelige informatie te achterhalen, neemt toe. Zelfs nu organisaties steeds meer opleidingen en trainingen op het gebied van cybersecurity implementeren. Deze vorm van manipulatie vormt al een uitdaging voor organisaties, maar artificial intelligence (AI) maakt de bedreiging nog groter.
De menselijke factor draagt al langere tijd in grote mate bij aan de kwetsbaarheid van een organisatie. Medewerkers maken misbruik van hun netwerkrechten. Zo geven ze per ongeluk informatie vrij aan aanvallers, ze maken fouten of ze worden gemanipuleerd. Dit jaar is dat niet anders. Het 2023 Data Breach Investigations Report toont aan dat de menselijke factor verantwoordelijk is voor bijna driekwart (74%) van de inbreuken. Social engineering is hier een groot onderdeel van.
Waarom pretexting profiteert van Generative AI
Social engineering groeit voornamelijk dankzij pretexting, wat verwijst naar het gebruik van een verzonnen verhaal of dekmantel. Het doel hiervan is om gevoelige informatie te achterhalen. Het aantal pretexting-gevallen is dit jaar bijna verdubbeld. Ook is het verantwoordelijk voor bijna de helft van alle social engineering-hacks. Pretexting, wat in opkomst is, kan om drie redenen profiteren van de eindeloze ontwikkeling op het gebied van Generative AI:
- AI maakt pretexting geloofwaardiger. De effectiviteit van pretexting hangt af van de schijn van authenticiteit. De komst van AI maakt het mogelijk om de taal nog echter te laten lijken, waardoor deze vorm van hacking nog authentieker oogt. Het is bijvoorbeeld mogelijk om schrijfstijlen van betrouwbare organisaties of personen na te bootsen, waardoor phising nog geloofwaardiger overkomt.
- AI verbetert pretexting door de schaalbaarheid te vergroten. Generative AI kan helpen bij de verdere ontwikkeling van pretexting hacks. Zo kan Generative AI andere talen realistisch nabootsen. Hierdoor kunnen hackers pretexting in verschillende talen gebruiken, en nog meer schade aanrichten.
- AI zorgt dat grootschalige hacks minder tijd kosten. De meeste hacks worden handmatig uitgevoerd. Dit is tijdrovend en erg arbeidsintensief. Maar een aanvaller kan AI inzetten om een organisatie systematisch te onderzoeken op zwakke plekken. Dit scheelt een hoop inspanning, waardoor zelfstandig opererende hackers net zo gevaarlijk zijn als een team van hackers.
Organisaties zijn steeds meer geld kwijt aan dit soort aanvallen. Data van het Internet Crime Compliant Center (IC3), die ook aangehaald worden in het 2023 Data Breach Investigations Report, laat zien dat het mediane bedrag dat vorig jaar gestolen is door Business Email Compromise-aanvallen - een methode waarbij cybercriminelen zich voordoen als werknemers van bedrijven voor financieel gewin - is opgelopen tot 50.000 dollar.
Senior leidinggevenden beschikken over de meest gevoelige informatie van een organisatie en vormen een groot cyberrisico. Bedrijven maken vaak uitzonderingen in het securitybeleid voor de senior leidinggevenden. Hierdoor vormen zij de minst beschermde groep van een organisatie, wat extra zorgwekkend is. Zo wordt een CEO bijvoorbeeld niet gehouden aan dezelfde strenge, standaard regelgeving bij het vaststellen en bijwerken van referenties. Ook een CFO krijgt vaak toestemming om zijn voorkeursapparaat te gebruiken. Zelfs wanneer dat betekent dat hij moet switchen tussen persoonlijke en zakelijke apparatuur. Organisaties investeren veel in het trainen en beschermen van personeel, maar wanneer belangrijke leden van een bedrijf kwetsbaar blijven, worden deze inspanningen ondermijnd.
Hooggeplaatste leidinggevenden hebben toegang tot de meest lucratieve bedrijfsgegevens. Dit is nog een reden waarom zij sneller aandacht trekken van cybercriminelen. Social engineering wordt alleen maar effectiever en zorgt voor steeds meer schade. Organisaties doen er daarom verstandig aan om de cybersecurity van hun senior leidinggevenden prioriteit te geven.
Begin met het elimineren van risicovolle uitzonderingen door belangrijke leidinggevenden dezelfde strenge, standaard regelgeving van de organisatie te laten naleven. AI vergroot dan wel de dreiging, maar het kan ook bijdragen aan de security van een organisatie. Bijvoorbeeld door het automatiseren van de detectie van en reactie op aanvallen.
Menselijke fouten blijven, in ieder geval in de nabije toekomst, een rol spelen in de kwetsbaarheid van organisaties op het gebied van cybersecurity. Maar deze fouten kunnen ook beperkt worden. Het is goed dat bedrijven hun personeel traint en opleidt rondom cybersecurityprotocollen, maar ze moeten wel consequent blijven in de toepassing van deze standaarden. AI kan hacks stroomlijnen, maar kan ook bijdragen aan het stroomlijnen van de cybersecurity van een organisatie. AI is zo goed of gevaarlijk als de mensen die het gebruiken. Het probleem ligt dus bij de mens, maar de oplossing ligt daar ook.
Door Chris Novak, Managing Director Cyber Security Consulting bij Verizon